С помощью правил межсетевого экрана администратор может разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UserGate NGFW. В качестве условий правила могут выступать зоны и IP-адреса источника/назначения, пользователи, группы, сервисы.
События срабатывания правил межсетевого экрана отображаются в журнале трафика (Журналы и отчёты ➜ Журнал трафика) при включении опции Журналирование в параметрах правил.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
ПримечаниеЕсли не создано ни одного правила, то любой транзитный трафик через NGFW запрещен.
В настройках разрешающих правил межсетевого экрана могут быть добавлены профили СОВ и/или профили приложений (L7), содержащие определенные наборы сигнатур. После того, как трафик попадает в первое разрешающее правило межсетевого экрана, поток данных начинает анализироваться сигнатурами профилей СОВ и/или L7. При срабатывании сигнатур к трафику применяется действие, настроенное в правиле, и производится соответствующая запись в журналах (в Журнале трафика – для приложений и в Журнале СОВ – для СОВ), если в профилях была включена опция Журналирование.
Чтобы создать правило межсетевого экрана, необходимо нажать на кнопку Добавить в разделе Политики сети ➜ Межсетевой экран и указать необходимые параметры.
Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.
Наименование
Описание
Включено
Включает или отключает правило.
Название
Название правила.
Описание
Описание правила.
Действие
Запретить: блокирует трафик.
Разрешить: разрешает трафик.
Профиль приложений
Профиль приложений, созданный заранее в разделе Библиотеки ➜Профили приложений.
Профиль приложений включает в себя набор релевантных сигнатур приложений, предназначенный для использования в правилах межсетевого экрана для анализа трафика на 7 уровне модели OSI.
Подробнее о создании и настройке профилей приложений читайте в разделе Профили приложений.
Важно! Профиль приложений является дополнительным параметром для активации механизма нализа трафика на 7 уровне модели OSI. Может применяться только в правилах межсетевого экрана с разрешением прохождения трафика.
Профиль СОВ
Профиль СОВ, созданный заранее в разделе Библиотеки ➜Профили СОВ.
Профиль СОВ представляет собой набор релевантных сигнатур, предназначенный для обнаружения вторжений и защиты определенных сервисов.
Подробнее о создании и настройке профилей СОВ читайте в разделе Профили СОВ.
Важно! Профиль СОВ является дополнительным параметром для активации правила СОВ. Может применяться только в правилах межсетевого экрана с разрешением прохождения трафика.
Отбросить и
Настройка данного параметра доступна для правил, блокирующих трафик (выбрано действие Запретить). Параметр может принимать одно из следующих значений:
Не выбран.
Посылать ICMP host unreachable: блокировка трафика с отправкой ICMP-сообщения.
Посылать TCP reset: блокировка трафика с отправкой сообщения о разрыве TCP-соединения.
Важно! При выборе действия Посылать TCP reset необходимо указание сервиса (вкладка Сервис), использующего протокол TCP.
Посылать TCP reset в обе стороны: блокировка трафика с отправкой сообщения о разрыве TCP-соединения клиенту и серверу.
Сценарий
Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии.
Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
Журналирование
Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.
Нет. В этом случае информация не будет записываться.
Список URL должен включать только имена доменов. Каждые 5 минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.
Назначение
Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов. Каждые 5 минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Сервис
Тип сервиса, например, HTTP или HTTPS.
Время
Интервалы времени, когда правило активно.
HIP профили
HIP профили, созданные в разделе Библиотеки ➜ HIP профили.
HIP профили представляют собой набор объектов HIP и предназначены для проверки соответствия конечного устройства требованиям безопасности (комплаенса).
Подробнее о создании и настройке HIP профилей читайте в разделе HIP профили.
Важно! В случае выключения профиля HIP, он будет помечен серым цветом, а правило межсетевого экрана продолжает работать без условия проверки комплаенса.
Использование
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний, а также таблица срабатываний по приложениям.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т.п.
